Investigadores de seguridad han revelado una nueva filtración de datos denominada FortiBleed, que expone credenciales asociadas a aproximadamente 73,932 dispositivos Fortinet y FortiGate SSL VPN distribuidos en organizaciones de todo el mundo.
El hallazgo fue realizado inicialmente por el investigador Bob Diachenko, quien identificó un servidor expuesto que contenía miles de registros con nombres de usuario, direcciones de correo electrónico y contraseñas en texto plano presuntamente válidas para dispositivos FortiGate.
La información filtrada incluye organizaciones pertenecientes a sectores críticos como telecomunicaciones, manufactura, servicios financieros, energía, gobierno, educación y salud.
Empresas globales aparecen en la base de datos expuesta
De acuerdo con la información analizada por diversos investigadores y firmas de inteligencia de amenazas, entre las organizaciones identificadas dentro del conjunto de datos se encuentran compañías multinacionales como Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Siemens, Lenovo, Oracle, PwC y Accenture, además de múltiples entidades gubernamentales y operadores de infraestructura crítica.
La filtración también contenía información contextual sobre las organizaciones afectadas, incluyendo sector económico, ingresos estimados y número de empleados, datos que podrían haber sido utilizados para priorizar objetivos durante operaciones de intrusión.
Presunta operación de recolección masiva de credenciales
Según los artefactos analizados por Diachenko, la información podría estar relacionada con una operación de gran escala atribuida a un grupo criminal de habla rusa especializado en comprometer dispositivos FortiGate.
La investigación sugiere que los actores de amenaza habrían realizado aproximadamente:
- 1.16 mil millones de intentos de autenticación contra 320,777 dispositivos FortiGate.
- 2.1 mil millones de intentos de autenticación contra 163,650 servidores Microsoft SQL Server.
Adicionalmente, los atacantes habrían interceptado hashes de autenticación SSL VPN para posteriormente descifrarlos utilizando infraestructura de cómputo acelerada por GPU, permitiendo el acceso a redes corporativas y entornos Active Directory.
La autenticidad de los datos ha sido parcialmente verificada
El investigador Kevin Beaumont confirmó la validez de varias credenciales incluidas en la filtración y señaló que los datos parecen provenir de configuraciones exportadas de dispositivos Fortinet.
Entre los elementos encontrados se incluyen direcciones de correo electrónico, configuraciones internas y otros datos que normalmente solo están disponibles dentro de respaldos de configuración de los equipos.
Beaumont indicó además que gran parte de los dispositivos afectados continúan accesibles desde Internet y que muchos ejecutan versiones relativamente recientes de FortiOS, lo que sugiere que la información filtrada podría ser reciente.
Alcance global de la exposición
La empresa de inteligencia Hudson Rock analizó el conjunto de datos y determinó que la filtración contiene:
- 73,932 URL únicas de firewalls.
- 21,632 dominios distintos.
- Organizaciones ubicadas en 194 países.
Los países con mayor cantidad de dispositivos potencialmente afectados incluyen India, Estados Unidos, Taiwán, México, Turquía, Tailandia, Colombia, Malasia, Chile y Emiratos Árabes Unidos.
Los sectores más representados dentro de la filtración corresponden a telecomunicaciones, servicios tecnológicos, instituciones financieras, entidades gubernamentales, organizaciones de salud, educación y manufactura.
Origen de la filtración aún bajo investigación
Hasta el momento no se ha determinado cómo fueron obtenidas las configuraciones comprometidas. Los investigadores no han logrado confirmar si la información fue extraída mediante vulnerabilidades previamente conocidas en productos Fortinet, una falla aún no divulgada o mediante otros métodos de acceso no autorizados.
Asimismo, los conjuntos de datos analizados presentan diferencias respecto a filtraciones anteriores relacionadas con dispositivos Fortinet, lo que apunta a una campaña más reciente y de mayor alcance.
Recomendaciones para las organizaciones
Ante la posible exposición de credenciales y configuraciones de dispositivos FortiGate, las organizaciones deberían considerar una revisión inmediata de sus controles de acceso remoto. Resulta recomendable rotar todas las credenciales administrativas y de VPN, verificar la implementación de autenticación multifactor, restringir el acceso a interfaces de administración desde Internet y revisar los registros de autenticación en busca de actividad sospechosa.
Asimismo, es importante validar la integridad de las configuraciones de los dispositivos, identificar accesos no autorizados y monitorear posibles movimientos laterales dentro de la red corporativa.
Conclusión
La filtración conocida como FortiBleed representa uno de los mayores conjuntos de credenciales relacionadas con dispositivos Fortinet observados públicamente. Aunque el método exacto utilizado para obtener la información sigue siendo desconocido, la magnitud del incidente y la aparente validez de numerosas credenciales convierten este hallazgo en un riesgo significativo para organizaciones que utilizan soluciones FortiGate expuestas a Internet.
Las empresas que operan infraestructura Fortinet deberían evaluar de manera urgente su exposición y adoptar medidas preventivas para reducir el riesgo de accesos no autorizados y compromisos de red.
